恶意安全的OLE高效构造

原创于 2025-10-20 10:10:29 发布 · 240 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#OLE #OPE #噪声编码 #不经意传输 #UC安全

恶意安全的不经意线性函数求值与常数开销

萨特拉吉特·戈什(B)、耶斯佩尔·布斯·尼尔森和托比亚斯·尼尔格斯
奥胡斯大学，奥胡斯，丹麦
{satrajit,jbn,tobias.nilges}@cs.au.dk

摘要

在本工作中，我们研究不经意线性函数求值（OLE）问题。OLE是不经意多项式求值（OPE）的一个特例，涉及对线性函数f(x) = ax+ b的不经意求值。该问题的非平凡性在于：发送方选择 a, b，接收方选择 x，但接收方只能获知 f(x)。我们在OT‐混合模型下提出了一种高效且可组合安全的OLE构造方案，每执行一次OLE仅需 O(1)次不经意传输。该构造基于纳奥尔和粉卡斯（STOC’99）提出的噪声编码，并借鉴了伊沙伊、普拉巴卡兰和萨哈伊（TCC’09）用于被动安全OLE的方法。已有通过将 IPS编译器应用于上述被动安全OLE协议而得到渐近意义上与我们类似的结果，但我们的协议具有更优的常数因子，且实现起来更为简单。具体而言，我们仅用16次不经意传输即可生成一个主动安全OLE，且通过在被动安全协议基础上添加相当简单的检查机制，实现了主动安全性。因此，我们认为我们的协议在基于OLE构建实用的主动安全算术计算方面迈出了重要一步。本结果依赖于一些新颖的技术，这些技术本身可能具有独立的研究价值。作为应用，我们给出了当前最高效的OPE构造方法。

1 引言

函数的不经意计算是密码学协议中的一个基本构建模块。该领域第一个且arguably最著名的结果是不经意传输（OT），它是在拉宾[31]的开创性工作中引入的。在此，发送方可以指定两个比特 s0、 s1，接收方则可以根据其选择比特sc获知其中一个比特 c。可以保证的是，发送方无法得知c，而接收方对 s1−c也一无所知。

基利安[27]随后证明了OT可以实现任意函数的（不经意）计算。任何函数。

尽管在过去三十年中，通用多方计算领域取得了巨大进展，但某些类别的函数通过直接构造进行评估比绕道而行更为高效多方计算。在此背景下，纳奥尔和粉卡斯[29]提出了不经意多项式求值（ OPE）作为一种有用的原语。OPE处理的是在输入 P上不经意地求值多项式 α的问题，即发送方指定多项式 P但不会得知 α，而接收方仅学习P（α）而对 P的其他信息一无所知。OPE具有多种应用，范围从安全集合交集[18,30]到RSA密钥生成[16]以及不经意关键词搜索[13]。由于其通用性，OPE近年来受到了广泛关注[7,14,18,19,26,28,33,34]。

OPE的一个特例称为不经意线性函数求值（OLE，有时也称为OLFE或 OAFE），最近被引入作为（算术电路[8]或多路计算协议预处理阶段中混淆算术电路[1]）的基本构建模块。接收方并非要计算任意多项式 P，而是希望计算一个线性或仿射函数f(x) = ax+ b。伊沙伊等人[22]提出了一种用于不经意乘法的被动安全协议，该方法采用了与[29],类似的思想，并可轻松修改为被动安全的OLE协议。他们实现主动安全的方法是将类似[21]的编译器应用于该被动协议。另一种方法由[10],提出，他们基于防篡改硬件[23]作为设置假设，构建了一个无条件UC安全协议的OLE协议。

目前，上述所有提到的主动安全的OPE或OLE实现都需要相当昂贵的计算或强设置假设。相比之下，基于噪声编码和OT构造的最高效的被动安全构造仅需要简单的域运算。然而，迄今为止，在此设定下直接构造恶意安全协议仍难以实现。虽然诸如[21]的被动转主动编译器能够以常数开销生成主动安全协议，但这种转换通常引入过大常数，导致效率仅在渐近意义下成立。1 因此，当前最高效的实现主要源于应用类似SPDZ[8] 或近期MASCOT[25]等算术MPC协议中用于预计算相乘的值的技术。

1.1 我们的贡献

我们提出了一种基于噪声编码的OT混合模型中不经意线性函数求值的UC安全协议。该协议基于伊沙伊等人[22],提出的半诚实安全OLE实现，这是目前我们所知的被动安全OLE中最高效的协议。我们的主动安全协议相比原始的被动安全构造仅具有2倍的常数开销。具体数值上这意味着：

– 每OLE需要16个OT，而半诚实协议需要8个[22]。– 对于 n 次乘法运算，我们通信了 16 ·(2+ cOT) · n+ 8 个域元素，而在[22], 中为 8 ·(2+ cOT) · n，其中 cOT 是一次OT的成本。– 计算开销是半诚实情况下的两倍。

1我们将通过与[21]与已知的直接构造进行比较后协议进行更详细的比较。

一个很好的特性是[22]，其高效的主要原因在于它可以直接进行批量乘法运算。这一特性在我们的构造中得以保留，即我们可以同时评估多个线性函数。

为了实现我们的结果，我们解决了长期存在的一个开放性问题，即寻找一种可主动安全的OLE/OPE协议，该协议能够直接规约到噪声编码（以及OT）的安全性。这一问题在[29]中未被解决，仅在后续工作[22,26]中被初步探讨。本文的关键技术贡献是一种归约方法，表明噪声编码在强意义上对泄露具有鲁棒性，从而使其可应用于恶意环境。事实上，我们的鲁棒性结果更具一般性，并可扩展至所有噪声编码。

我们提出的UC安全的批量OLE构造的一个直接应用是UC安全的OPE构造。该构造非常简单，相较于OLE构造几乎没有任何额外开销。我们采用[30],中的方法，即利用次数为 d的多项式可以分解为 d个线性函数这一性质。通过批量 OLE对分解后的多项式进行求值，然后进行重构。由于批量OLE具有UC安全性，因此该构造对发送方具备UC安全性。为了使协议能够抵御作弊接收方，我们只需增加一个额外检查，以确保接收方对每个线性函数选择相同的输入。表1比较了我们的结果与文献中现有方案的效率。

表1. OPE实现的概述，其中 d是多项式的次数，k是计算安全参数， s是统计安全参数（[19]提出 s ≈ 160）。我们比较了相应协议中的OT数量和模幂运算次数。

	假设	OTs	指数运算	安全性
[7]	OT	O(dκ)	0	被动安全
[30]	OT 和噪声编码 O(dκlog	κ) 0		被动安全
[22]	OT 和噪声编码 O(d)		0	被动安全
[19]	公共参考串和双循环群问题	0	O(ds)	UC
[18] 本工作 OT	DDH 和噪声编码 O(d)	0	O(d) ∗	主动安全
			0	UC

我们指出，[18]仅实现了指数形式的OPE，虽然这对许多应用来说已经足够，但要得到一个完整的OPE仍需额外的工作，特别是可能需要额外的昂贵运算。关于基于OT协议效率的另一个重要因素是OT的廉价可扩展性[20,24]，其表明OT的渐近代价仅为少量对称原语（例如高级加密标准）的应用。因此，当 d足够大，或需要执行多个OPE时，OT的实际成本远低于模幂运算的代价。

因此，在此类场景下，我们相较于之前的（主动安全）方案取得了显著改进，因为之前的方案始终需要在多项式的次数上执行昂贵的操作。

与IPS相比。在[22],提出被动安全OLE协议的该研究中，作者建议使用 IPS编译器来实现主动安全[21]。我们的协议受到这种方法的启发，但我们省去了IPS编译器的大量通用机制，从而获得了一个在OT数量和实现上都显著更简单的协议。

在IPS编译器中，需要指定一个外层协议，该协议针对 n个服务器，并且应能主动安全地抵御一定比例的腐败攻击。由于我们的目标是生成主动安全OLE，因此我们需要一个计算OLE的外层协议，从而自然地选择算术协议。还应指定一个内层协议，这是一个被动安全的两方计算协议，用于模拟外层协议中的各个参与方。该协议应基于被动安全OLE，因为这是我们所使用的底层原语。

对于外层协议而言，使用[2]的一个变体似乎是一个不错的选择。该协议具有完美主动安全性，因此适合[22]框架，并避免了“抛币入井”带来的复杂性。由于IPS编译器不需要错误恢复，而仅需错误检测，因此可以跳过[2]的整个争议控制机制，从而得到一个非常简单的协议。通过将服务器数量 n设置得非常高，外层协议需要容忍的被攻破服务器数量可以变为任意小的常数 ε。在这种情况下，我们或许可以获得[2],的一个打包版本，其中同时并行地对(n − 3ε)/2个不同的值计算相同的电路。这意味着外层协议执行的每一次安全乘法仅涉及略多于两次服务器的本地乘法。为简化起见，我们忽略除这两次乘法之外的所有其他开销。

使用基于[22],中被动安全OLE的自然内层协议，每次模拟乘法运算将消耗 2次被动安全OLE。每次被动安全OLE消耗8次OT，因此生成每次主动安全 OLE的总成本为32次OT。我们的协议每OLE需要16次OT。

在IPS框架中将内层协议和外层协议结合在一起时，会带来相当多的额外复杂性，例如设置监控列表，以及在这些监控列表通道上加密并发送模拟服务器的所有内部消息。相比之下，我们的协议相较于底层的被动安全协议几乎没有增加额外机制。与被动安全OLE协议相比，我方协议在参与方本地计算上的开销为2。IPS编译器的开销似乎不太可能接近仅为2的程度。

总之，我们的协议在OT消耗上节省了2倍的开销，且更为简单，因此更容易实现，并具有显著更低的计算成本。

1.2 技术概述

我们构造的核心是噪声编码。这种编码由纳奥尔和粉卡斯[29]在他们关于 OPE的论文中提出，为不经意地计算乘法提供了一种非常高效的方法。噪声编码基本上是通过线性码对消息进行编码，并混入随机值，使得最终得到的向量隐藏了哪些元素属于码字、哪些元素是随机值，从而隐藏了原始消息。更详细地说，输入x ∈ Ft被用作某个次数为 t的随机多项式在 αi位置上的采样点 P。然后该多项式在例如 d> t个 4d位置 βi上进行求值，并将其中一半位置的值替换为均匀随机值，从而得到编码v。假设该编码与均匀随机向量不可区分。2

噪声编码的鲁棒性

在恶意安全协议中使用噪声编码的主要问题在于，编码通常以非黑盒方式被使用。一方面，这使得协议可以非常高效；但另一方面，恶意方获得的知识会使关于噪声编码不可区分性的假设失效。更具体地说，考虑这样一种情况：攻击者获得了编码，并以协议未规定的方式对其进行篡改。而诚实方仅获得编码的一部分（这在被动安全情况下通常也是必要的）。为了实现主动安全，会执行一个检查，旨在发现偏离协议行为的对手。但由于该检查依赖于诚实方所获知的编码部分，这一检查实际上会向攻击者泄露一些非平凡的信息，通常是码字的噪声位置。

我们证明了[22,30]定义的噪声编码对于泄露具有很强的鲁棒性。特别是，我们证明了以下定理，该定理本质上是基亚亚斯和杨[26]先前得到的一个结果的加强版本。

定理（非正式）。 对于合适的参数选择，噪声编码对 O（log κ）个噪声位置的非自适应泄露具有弹性。

更详细地说，我们证明了如上所述生成的噪声编码对于允许固定 f个噪声位置的攻击者而言，仍然与随机的域元素向量不可区分。固定 f个位置当然比泄露 f个位置的能力更强。固定 f个位置所导致的安全损失为 3f。

然后我们证明，给定噪声编码的攻击者无法识别出仅由噪声位置组成的超对数大小的集合。

定理（非正式）. 对于合适的参数选择，攻击者无法识别出噪声编码中的超过 O (log κ)个噪声位置。

该问题与高效多项式重构（即里德‐所罗门码的解码）相关，因此已被广泛研究。参数的选择必须确保所有已知的解码算法均无法成功。

这些定理共同表明，我们可以容忍可能被猜测的任意数量噪声位置的泄露。这是我们协议安全性的基础。需要注意的是，在我们采用不可区分性概念的情况下，对可能被猜测的一组噪声位置的泄露容忍并非 trivial，因为单个比特的泄露可能会先验地破坏该假设。

我们描述用于证明第一定理的归约的主要思想。假设有总共 ρ个噪声位置。考虑一个攻击者，其被允许提交一个集合 F。然后我们如上生成一个噪声编码，不同之处在于所有位置 i ∈ F都被固定为噪声位置。其余的 ρ−|F| 个噪声位置则随机选取。将该分布记为v ρ,F。令vρ= v ρ,∅。令v$表示所有位置均为均匀随机的向量。我们从假设vρ ≈v$出发。设 n为总位置数。那么显然有vn,F= v$对所有 F成立。

我们希望证明v ρ,F ≈v$对于较小的 F成立。设 F是一个大小为 f的集合。假设我们已经成功证明了对于所有大小为 f −1的集合 F′，v ρ,F ′ ≈v$成立。同时假设我们已经成功证明了vρ+1,F ≈v$。

对于集合 F，令 i为 F中的最小索引，并令 F= F′∪·{i}。考虑一个归约，该归约从 v ρ、F′或 v$得到 v，并在 v 的位置 i 添加噪声，然后输出结果 v′。如果 v ∼ v$，则 v′ ∼ v$。如果 v ∼ v ρ，F′,则 v′ ∼ α v ρ+1，F+(1 − α)v ρ，F，其中 α 是 i 尚未成为噪声位置的概率。综合以上可得，v ρ，F′ ≈v$意味着 αv ρ+1，F+(1−α) v ρ，F ≈v $。然后我们利用 v ρ+1，F ≈v$得到 αv$+(1−α)v ρ，F ≈v $，这意味着当 α 不太大时，v ρ，F ≈v$。

我们接下来需要证明v ρ,F ′ ≈v$和v ρ+1,F ≈v$。这些通过归纳法来证明。 v ρ , F′ ≈v$的基础是v ρ ,∅ ≈v$。vρ+1 , F ≈v$的基础是vn , F= v$。在这些多项式深度嵌套归纳中控制安全损失是棘手的。我们将在后面给出完整的细节。

我们现在给出第二定理证明背后的直观思路。假设某个攻击者在给定编码 vρ ≈ v$的情况下，能够以多项式概率 p1猜测出一组包含 s个噪声位置的集合 S ，且假设 s是超对数级的， ρ/n 是一个非零常数。我们针对噪声水平 ρ 来证明该定理，但必须从如下假设开始：对于某个适当的常数 c ∈ (0,1)，有 vρ−cκ ≈v$ 成立，其中 κ 是安全参数。

考虑一个归约，它从 v ρ−cκ或 v$中获得样本 v。该归约首先向 v 添加 κ 个随机位置 R，得到 v′。然后将 v′ 输入给 A，以获得集合 S。接着利用其对 R 的知识，来采样 S 与 v′ 中噪声位置的交集大小。如果该大小为“大”，则我们猜测 v ∼v ρ−cκ；否则猜测 v ∼ v$。我们选择 c，使得当 v′v ρ时，v ∼中的随机位置总数以多项式概率达到 ρ−cκ，此时 S 以概率 p1成为噪声位置的子集，从而产生较大的交集。如果 v ∼ v$，则 R 对攻击者是均匀隐藏的，且交集的期望大小将比原来小一个依赖于 ρ 和 c的常数因子。 c 和“小”的校准方式旨在通过切尔诺夫界实现严格的证明。细节如下所述。

基于噪声编码的高效OLE

我们构建了一个受伊沙伊等人[22]的被动安全乘法协议启发的可组合安全的OLE协议。让我们从直观层面简要回顾他们的构造。

其中一方，我们称之为发送方，其输入为 t个值 a1，⋯， at ∈ F，而接收方的输入为b1，⋯， bt ∈ F。预先确定一组不同的点 α1，⋯，αn/4。高层思想如下：发送方和接收方分别通过点(αi, ai)和(αi, bi)插值一个次数为 n/4 −1的多项式（随机选取 ai, bi作为 i> t），从而得到 A(x)和 B(x)。他们还事先约定 n个点β1，⋯， βn。现在，接收方将一半的点 B(βi)替换为均匀随机值（他¯创建了一个噪声编码），并将这 n个值 B(βi)发送给发送方。他使用一个索引集 L来记录无噪声位置。发送方额外绘制一个次数为2(n/4 −1)的随机多项式 R，以掩码输出。然后他¯计算 Y(βi) = A(βi) · B(βi) + R(βi)，并将这些点作为 n/2 −1‐选‐n OT的输入，接收方从中选择 n/2 −1个位于 L的值。之后，他可以通过插值得到 Y(βi)的获得点，重构出 Y，并在位置 αi学习到ai · bi+ ri。

这同样直接实现了OLE：多项式 R可简单地用作发送方的另一个输入，因为它可以与 A一样被生成。

发送方的被动安全性源于接收方仅获得 n/2 −1值，因此 R完全掩盖了输入 a1,…, at。接收方的被动安全性则源于噪声编码，即发送方无法从噪声编码中学习到 B。

为了从上述协议中实现主动安全的OLE，我们必须确保几件事情：首先，我们需要使用一种主动安全的 k选nOT。但与其使用带来nlog n OT数量开销的黑盒实现，我们转而使用 n 1选2 OT，并通过秘密共享来确保接收方选取了正确数量的消息，该秘密共享需要由接收方进行重构。该协议最早出现在[32]中。它对发送方不具备主动安全性，因为发送方可能猜测到一些选择比特。后来在[9],中提出了一种效率较低但具备主动安全性的版本，使用了可验证秘密共享。然而，我们可以使用效率更高但安全性稍弱的原始变体，因为在整体协议中可以容忍少量选择比特的泄露。

其次，我们还需要确保各方在计算中使用了正确的输入，即有效的多项式 A, B和 R。为了检测偏离行为，我们添加了两个检查——每个方向一个。该检查相当简单：一方选择一个随机点 z，另一方发送一对 A(z) R(z)，或B(z) Y(z)，分别对应。现在，每一方都可以在本地验证这些值是否满足方程 A(z) · B(z) + R(z) = Y(z)。

事实证明，协议中的这两个附加步骤虽然确保了输入方面的协议合规性，但都依赖于编码。但这同时也意味着恶意发送方可以发起选择性失败攻击，例如，它输入秘密共享的错误份额，并获取关于编码“密钥”的某些泄露信息。在考虑半诚实安全时，此问题不会发生。

2 预备知识

我们使用概率多项式时间（PPT）算法、可忽略函数和压倒性函数的标准概念。此外，我们用x ∈ Fn表示长度为 n的向量， xi表示x的第 i个元素，x |I表示所有 xi（对于 i ∈ I）。除非另有说明， P(x)表示关于 F[X]的多项式，X 表示一个分布。

我们通常用ˆx 表示由模拟器选择或提取的值，而x∗ 由攻击者 A选择。

2.1 通用可组合性框架

我们在卡内蒂的通用可组合（UC）框架中陈述并证明我们的结果[5]。安全性通过比较理想模型和实际模型来定义。在实际模型中，协议参与者之间执行一个协议 Π，而在理想模型中，各方仅与一个理想功能 F通信，该功能用于描述协议的理想安全保证。对于实际协议中的攻击者 A，其协调所有恶意方的行为，必须存在一个模拟器 S来对应 A在理想协议中的行为。一个环境 Z连接到实际协议和理想协议，为各方提供输入并读取输出。模拟器 S必须确保 Z无法区分这两个模型。因此，即使存在并发执行的协议（在环境中运行），安全性仍然成立。通常，我们假设 A是一个由Z控制的傀儡对手，这意味着 Z可以根据收到的协议消息自适应地选择其输入，并代表（被攻破的）协议方发送消息。

更正式地，令 RealΠA(Z) 表示在与实际模型交互时描述 Z 输出的随机变量，并令 IdealFS(Z) 表示在与理想模型交互时描述 Z 输出的随机变量。如果对于任意（PPT）攻击者 A，均存在一个PPT 模拟器 S，使得对于任意（PPT）环境 Z，有 RealΠA(Z) ≈ IdealFS(Z)，则称协议 Π UC实现功能 F。

对于我们的构造，我们假设存在主动对手和静态腐败。我们在可访问不经意传输（OT）的混合模型中证明安全性。

2.2 承诺方案

一个承诺方案 COM 由两个算法（COM.Commit,COM.Open）组成。它是发送方和接收方之间的两方协议。在该协议的承诺阶段，当发送方希望对某个秘密值 m 进行承诺时，它运行 COM.Commit(m) 并得到两个值 (com,unv)。发送方 S 将 com 发送给接收方。之后在揭示阶段，发送方将揭示信息 unv 发送给接收方，接收方可以使用 COM.Open 来验证承诺 com 是否包含实际的秘密值 m。

一个承诺方案必须满足两个安全性属性：(1) 隐藏性：接收方在打开承诺之前无法获得关于被承诺的秘密的任何信息

揭示阶段，以及（2）绑定性：发送方在承诺阶段之后必须无法更改已承诺的秘密。为了实现我们的目标，我们需要高效的UC安全承诺方案，这些方案可以在 FOT‐混合模型和FOLE‐混合模型中实现。

在[6]中，作者提出了一种在 FOT‐混合模型下的可组合安全的承诺方案。他们的协议首次在摊销意义上实现了具有“最优属性”（速率接近1和线性时间复杂度）的通用可组合性承诺方案。在我们的可组合安全的OLE协议中，同样需要同时对多个值进行承诺，因此我们可以在我们的协议中使用他们的UC承诺方案。

3 噪声编码

我们协议的安全性基于噪声编码假设。简而言之，噪声编码是一种消息编码方式（例如通过线性码），其中混入了随机域元素。该假设认为，此类码字以及特别是其中的编码消息无法被恢复。由于该假设与解码随机线性码或在存在大量随机噪声的情况下有效解码里德‐所罗门码密切相关，因此显得合理。

噪声编码最初由纳奥尔和粉卡斯[29], 引入，专门用于实现OPE。他们的编码算法基本上生成一个次数为 k−1 的随机多项式 P，满足 P(0) = x。该多项式在 n> k 个位置上进行求值，然后对 n − k 个位置进行随机化。推广[30], 伊沙伊等人[22] 的方法，提出了一种更高效的编码过程，允许一次编码多个域元素而非单个元素，使用了[12]的技术。基本上，他们使用里德‐所罗门码，然后通过引入随机错误对码字进行人工加盲，以掩盖码字元素在最终字符串中的位置。

如图所示的编码过程1与[22],中给出的过程几乎相同，只是我们没有固定信噪比（因为这将取决于协议）。我们还允许将一组点 P作为参数传递给 Encode，以便于后续对我们的协议进行描述。这一改变对假设没有影响，因为这些点无论如何都会通过 G公开。

[29]提出了两种不同编码及相关假设，并针对其协议设计。其中一种假设后来被[3,4],攻破，并在[30]中提出了修正版本。我们仅关注未被攻破的假设。[22]也使用了相同的假设，我们将在下文中采用他们的符号。

假设1。 设 κ为安全参数，且 n, ρ ∈ poly(κ)。进一步令x, y ∈ F t(κ)。则对于 t ≤ 4 ，集合{Encoden,ρ(x)}κ与{Encoden,ρ(y)}κ是计算不可区分的。

目前，我们的安全性归约并不适用于假设1，而是适用于假设1的一个变体，该变体已在[29]中讨论过。我们不再要求两个编码的不可区分性，而是要求一个编码是

伪随机。为了使这些假设成立，[22]提出 n= 4κ， ρ=2κ+ 1作为参数，或者 n= 8κ， ρ= 6κ+ 1采取保守方案。

假设2。 设 κ为安全参数，且 n, ρ ∈ poly(κ)。进一步令x ∈ F t(κ)。则对于 t ≤ 4，集合{编码n,ρ(x)}κ与{G ← G(n, ρ) v ← F n}κ是计算上不可区分的。

显然，假设2蕴含假设1，而反方向尚不明确。除了这一假设本身非常自然之外，基亚亚斯和杨[26]还提供了额外的证据表明假设2是成立的。他们证明了，如果攻击者无法判断编码中某个随机位置 i是否属于码字的一部分，则该噪声码字确实是伪随机的。

4 噪声编码对泄露具有鲁棒性

在本节中，我们证明了一大类计算假设可以被扩展以允许一定程度的泄露，而不会丧失渐近安全性。这是本文的主要技术贡献之一，我们认为这些归约具有独立的研究价值。我们首先定义所考虑的假设类别。

定义1。 给定一个有限域 F。对于正整数 n，我们用Un表示 F n上的均匀分布。设 n 为码字长度， ρ为随机化位置的数量， G 为编码的生成器， F 为一些具有 |F| ≤ ρ的固定随机位置。分布Yn ,ρ,G,F 的采样方式如下。

采样(x1, . . . , xn) ← G(1κ)，其中 κ 是安全参数。2. 在约束 |R| = ρ 和 F ⊆ R下均匀采样 R ⊆[n]。3. 在 i ∈ R的约束 ei= 0 下均匀采样(e1, .. . , en) ← Un。4. 输出y= x+e。

显然，上述定义的编码推广了定义1，即以下所有结果对噪声编码同样成立。

我们将主要考虑 n= Θ(κ)和 ρ= Θ(κ)的情况。通常 n和 G是固定的，在这种情况下，我们用Yρy,F表示y的分布。注意Yn,F=Un。

我们将假设对于足够大的 ρ，有 Yρ ≈Yn 成立，其中 ≈表示分布是计算上不可区分的。例如，在适当参数下，噪声编码的该性质由假设2给出。我们将利用这一点证明，在对 R存在有限泄露的情况下，同样的结论仍然成立，并且仅给定 y 时，很难计算出 R 的大量元素。

当我们证明第一个结果时，我们将进行一个包含两层嵌套递归归约的论证。为了更方便地追踪安全损失，我们将暂时采用具体安全性表示法，然后在能够控制安全损失后，再切换回渐近安全性。

给定两个分布 A0 和 A1 以及一个区分器 D，令 AdvD(A0, A1)=Pr[A1= 1] − Pr[A0= 0]。我们用 A0 ≈t ε A1 表示对于所有可在时间 t 内计算的区分器，均有 AdvD(A0, A1) ≤ ε 成立。

给定两个分布 A0 和 A1 以及 0 ≤ α0 ≤ 1 和 α1= 1 − α0，我们用 B= α0A0+ α1Z 表示通过以下过程生成的分布。以概率 Pr[c= i]= αi 从 c ∈{0, 1} 中采样，然后采样 b ← Ac 并输出 b。

我们将在证明中使用以下简单的事实。

引理1. 设A0、 A1和 Z为分布。
A0 ≈ t α0ε α0A1+ α1Z.
α0A0+ α1Z ≈t ε α0A1+ α1Z ⇒ A0 ≈ t α −1 0 ε A1.

证明。 令Bi= α0A0+ α1Z。我们首先证明第一个蕴含关系。考虑一个区分器 D 用于 B0和 B1。然后
AdvD(B0, B1)= Pr[D(B1)= 1] − Pr[D(B0)= 1]
=∑
i
αi Pr[D(B1)= 1 | c= i] −∑
i
αi Pr[D(B0)= 1 | c= i] = α0 Pr[D(B1)= 1 | c= 0] − α0 Pr[D(B0)= 1 | c= 0] = α0 Pr[D(A1)= 1] − α0 Pr[D(A0)= 1]
= α0 Pr[D(A1)= 1] − α0 Pr[D(A0)= 1],
由此可得
AdvD(B0, B1)= α0AdvD(A0, A1). (1)

由（1）可得，对所有D，有AdvB0, B1） ≤ α0ε，从而证明了该引理中的结论。考虑一个针对 D和 D的区分器 A0 。它也可以作为针对 A1和 B0的区分器，因此由（1）可得
AdvD(A0, A1)= α−1 0 AdvD(B0, B1).
由此可得出第二个结论。

在下文中，我们将证明，如果Yρ ≈t+t′ ε Yn且 F不太大，则Yρ,F ≈t ε′ Yn,F，其中 ε′与 ε多项式相关， t′为一个较小的固定多项式。由于归约是递归的，并且会以乘法方式修改 ε，我们将显式跟踪 ε，以确保安全损失不会太大。至于 t，每次归约仅添加一个小的 t′到 t中，即采样一个分布所需的时间。因此，时间的增长显然最多为一个多项式项。为此，出于符号表示的方便，我们不再跟踪 t。

引理2. 如果 ρ − |F| ≥ 2n/3且Yj ≈ε Y n对所有 j ≥ ρ成立，则Yρ,F ≈σρ Y n,F对 σρ= 3|F|ε成立。

证明。 我们通过对 F的大小进行归纳来证明该断言。如果 |F| = 0，则由假设可得。接下来考虑以下具有输入(y1, . . . , yn)和 F的随机函数 f。令 i为 F中的最大元素，并令 F′= F{i}。均匀随机采样 y′ i ∈ F。对于 j= i，令 y′ j= yj。输出y′。考虑分布Yρ,F′。令 R表示随机化的位置。如果 i ∈ R，则 f(Yρ,F′) =Yρ,F。如果 i ∈ R，则 f(Yρ,F′) =Yρ+1,F，因为我们增加了一个额外的噪声点。点 i是一个不在 F′中的固定点。不在 F′中的点共有 n − |F| + 1个。有 ρ个随机化点，即 |R| = ρ。其中恰好有 |F| − 1个点属于 F′。其余的点在 F′之外是均匀分布的。因此这样的点共有 ρ−|F| + 1个。因此， i ∈ R的概率为 p= ρ−|F|+1 n−|F|+1。由此可得
f(Yn,F′ )= Yn,F, f(Yρ,F′ )= pY ρ,F+(1 −p)Yρ+1,F.
由Yn , F′ ≈ε′Yρ ,F ′（其中 ε′= 3|F ′|ε）可得
Yn,F ≈ε′ pY ρ,F+(1 −p)Yρ+1,F.
我们现在声称 Yρ , F ≈3ε ′ Yn ,F。该命题在 ρ= n时显然成立，因此我们可假设 ρ< n，并假设该命题对所有 ρ′> ρ均成立。利用引理1以及归纳假设，我们得到
pY ρ,F+(1 −p)Y ρ+1,F
≈
(1−p)3ε ′ pY ρ,F+(1 −p)Y n,F.
显然
Y n,F ≈0 pY n,F+(1 −p)Y n,F .
综合起来，我们得到
pY n,F+(1 −p)Y n,F ≈ ε ′ +(1−p)3ε ′ pY ρ,F+(1 −p)Y n,F .
使用引理1，我们得到 Yn,F ≈p−1(ε′+(1−p)3ε′)Yρ,F。我们有 p ≥ 2/3 所以
p−1(ε′+(1 −p)3ε′) ≤ 3 2(ε′+ 1 33ε′)= 3ε′= 3|F|ε.

在本节的其余部分，假设 n和 ρ是安全参数 κ的函数，且 n, ρ=Θ(κ)。还假设 ρ ≥ 2n/3，且 n−ρ=Θ(κ)。我们说Yρ ≈Yn，如果对于所有多项式 p和 q，以及所有足够大的 κ和所有ρ′ ≥ ρ，都有Yρ′ ≈q(κ) 1/p(κ) Yn(κ)。

由 3O(logκ)是 κ的多项式可得

推论 1. 如果Yρ ≈ Yn 且 F ⊆[n] 的大小为 O(log κ)，那么Yρ,F ≈ Yn。

现在假设 Yρ ≈Yn。令 Yρ,F,¬ 的定义与 Yρ,F 相同，只是 R 根据以下限制进行采样： F ⊆ R，即 F 至少有一个

元素不在 R 中。设 p(F) 表示对于均匀分布的 R， F ⊆ R 成立的概率。那么根据定义和全概率公式，有 Yρ= p Yρ,F+(1 −p)Yρ,F,¬。我们得到 Yρ ≈ Yn，且 Yρ,F ≈3|F| Yn,F=Yn。综合以上结果，可得 Yn ≈p3|F| pYn+(1 −p)Yρ,F,¬。然后我们得到 Yn ≈3|F| Yρ,F,¬。

推论 2. 如果Yρ ≈ Yn 且 F ⊆[n] 的大小为 O(log κ)，那么Yρ,F,¬ ≈ Yn。

我们现在证明，给定对 R的一个小查询不会破坏安全性。

定义 2。 设 A为一个PPT算法，且Y如定义1中所定义。游戏Gleak定义如下。

运行 A 以获得子集 Q ⊆[n]。2. 采样一个均匀随机比特 c。– 如果 c= 0，则从 y ← Yρ 中采样，并令 R 为采样中使用的子集；– 如果 c= 1，则从 y ← Yn 中采样，并令 R ⊆[n] 为大小为 ρ 的均匀随机子集。
当且仅当 Q ⊆ R 时，令 r ∈{0, 1} 为 1，并将输入 (r, y) 提供给 A。4. 运行 A 以得到猜测值 g ∈{0, 1}。
A的优势是 AdvA= Pr[g= 1 | c= 1] −Pr[g= 1 | c= 0]。

定理 1. 假设 n, ρ=Θ(κ)和ρ ≥ 2 3 n。如果Yρ ≈Yn，那么AdvA ≈ 0。

证明. 设 p为 Q ⊆ R的概率。如果 p是可忽略的，那么在游戏的第3项中，我们可以向 A发送常数 r= 0，而这只会使优势发生可忽略的变化。但在如此修改后的游戏中，AdvA ≈ 0因为Yn ≈Y ρ。因此假设 p是一个多项式。 3设 Y0为分布

形式上，我们应该考虑对无穷多个 κ 而言它是多项式的情况，但以下论证可轻松推广到此种情况。

当 c= 0时，(r{, y)的分布。令 Y1表示当 c= 1时(r{,y)的分布。如果 c= 0，则(r {,y)的分布如下
Y0= p ·(1, Yρ,Q)+(1 −p)·(0, Yρ,Q,¬).
当 p为多项式时，则 |F| = O(log κ)为 n − ρ=Θ(κ)。由此可得
Y0 ≈ p ·(1, Yn)+(1 −p)·(0, Yn)= Y1,
使用上述渐近推论。

然后我们将证明，很难计算出 R的大量元素。

定义 3。 设 A为一个PPT算法，且Y如定义1中所定义。游戏Gident定义如下。

采样 y ←Yρ，并让 R 表示随机化的位置。2. 将 y 输入到 A。
运行 A 并将输出记为 Q ⊆[n]。我们要求 |Q| = s。4. 当且仅当 Q ⊆ R 时，令 r ∈{0, 1} 为 1。5. 输出 r。
A的优势是 AdvρA s=,Pr[r= 1]。

定理2。 设 n=Θ(κ)且假设Yσ ≈ Yn。则在以下两种情况下，AdvρA s≈ 0,均成立：
1. 令 σ= n ρ−κ n−κ和 s= κ。2. 令
σ= nκ n−ρ−κ和 s ∈ ω（log κ）。

证明。 设 A为一个攻击者，当 Q ← A(Yρ)时， Q ⊆ R以不可忽略的概率 p成立。两种情况下的论证类似。对于定理的第一部分，考虑以下攻击者 B(y)接收y ∈ F n。它采样一个大小为 κ的均匀随机 X ⊂[n]。对于 i ∈ X，令 y′ i为均匀随机。对于 i ∈ X，令y′ i= yi。计算 Q ← A(y)。如果 |Q ∩ X| ≥
κ 2 ρ ，则输出1；否则输出 0。

我们现在证明 Pr[B(Yn) = 1] ≈ 0 且 Pr[B(Yσ) = 1] 是不可忽略的，这证明了定理的第一条陈述。

设 R 为在 y 中被随机化的位置。令 R′= R ∪ X。注意，如果 y ←Yσ，则
E[|R′|]= κ+ σ − E[|X ∩ R|]= κ+ σ − κ σ n = ρ.
很容易验证Pr[|R′| = ρ]= 1/O(κ)，这意味着Pr[Q ⊆ R]= p/O(κ)，当 p为非可忽略时，该值也是非可忽略的。令 E表示事件 Q ⊆ R。通过期望线性性质的简单应用，我们得到
E[|Q∩ X| | E]=
κ 2
ρ ,

由于 X在给定 A的视图下是均匀随机子集 X ⊆ R，因此可得Pr[B(Yσ)= 1]是非可忽略的。然后考虑 B(Yn)。注意现在 R=[n]并且再次 X是 R的一个均匀随机子集，且独立于 A的视图。因此
E[|Q∩ X|]= κ2 n=: μ.
Then
Pr[|Q∩ X| ≥
s(ρ − κ)
ρ
]= Pr[|Q∩ X| ≥ n ρ μ]= Pr[|Q∩ X| ≥(1+ δ)μ]
对于 δ ∈(0,1)。由此可得
Pr[|Q∩ X| ≥
κ2 ρ] ≤ e− μδ2
3= e−Θ(μ)= e−Θ(κ)= negl(κ).

为了说明这一点，设X={x1,…, xκ}并设 Xi为以下事件的指示变量：即 i中X的元素最终落入 Q中。则Pr[Xi= 1]= κ n且|X ∩ Q| = ∑i Xi。接着考虑一个称为独立采样的修改版实验，其中我们从[n]中独立地均匀随机选取 κ个元素用于 X，即它们可能相同。在这种情况下，该不等式是一个简单的切尔诺夫界。容易看出，当我们回到依赖采样时，即我们从[n]中均匀随机选取 xi，但要求它们必须与x1,…, xi−1不同，则与独立采样相比，和∑i Xi的方差只会降低，因此Pr[|Q∩X| ≥(1+δ)μ]将会下降。为了理解这一点，将序列x,x1+ x2,…,∑i xi视为一个随机游走。在依赖采样情况下，当 ∑i xi大于期望值时，由于 Q中已有超过期望数量的位置被占据，xi+1落入 Q的可能性相比独立采样情况会更低；类似地，当 ∑i xi小于期望值时，由于 Q中已有少于期望数量的位置被占据， xi+1落入 Q的可能性相比独立采样情况会更高。因此，依赖采样情况下的随机游走相比独立采样情况下的随机游走总是更倾向于接近平均值。

定理的第二个陈述2通过将 X设为大小为 ρ −κ的均匀子集得出。如上所述，如果 A输出 Q使得 |Q∩ X| ≥
s(ρ−κ)
ρ ，则B(y) 输出1。否则它输出0。再次令 R为在 y 中被随机化的位置。令 R′= R ∪ X。如果 y ← Yσ，那么
E[|R′|]= ρ − κ+ σ − E[|X ∩ R|]= ρ − κ+ σ −(ρ − κ) σ n = ρ.
设 E表示事件 Q ⊆ R。根据上述论证，
E[|Q∩ X| | E]= s(ρ − κ)
ρ .

由此可知，Pr[B(Yσ)= 1]是非可忽略的。然后考虑 B(Yn)。注意到此时 R=[n]，且 X再次是 R的一个与 A视图独立的均匀随机子集。因此
E[|Q∩ X|]= s(ρ − κ)
n =: μ.
由此可见
Pr[|Q∩ X| ≥ s(ρ − κ)
ρ
] ≤ e−μδ2 3= e−Θ(μ)= e−ω(logκ)= negl(κ).

5 常数开销的不经意线性函数求值

不经意线性函数求值（OLE）是指在以下场景中计算一个线性函数 f(x) = ax+ b的任务。其中，一方称为发送方S，提供该函数，即值 a和 b；另一方为接收方R，希望在其输入 x 上对该函数进行求值。当双方希望以一种方式完成该函数求值，使得发送方对 x一无所知，而接收方仅得知 f(x)，但无法获知 a和 b 时，该任务变得非平凡。OLE 可视为纳奥尔和粉卡斯[29],提出的不经意多项式求值（OPE）的一个特例，其中发送方提供的不是线性函数 f，而是一个多项式 p。

5.1 理想功能

我们的协议的效率部分源于我们可以直接执行一批乘法。这反映在 Ft OLE的理想UC功能中（参见图2），该功能允许发送方和接收方输入大小为 t的向量。

5.2 我们的协议

我们的起点是伊沙伊等人[22]用于被动安全的批量乘法协议。他们的协议基于噪声编码，与我们的构造类似。接下来我们将简要概述他们的构造（做了一些小的修改），然后介绍使该构造实现主动安全所需的核心思想。

在他们的协议中，接收方首先创建一个噪声编码(G, H, L, v) ←编码(x)（如第 3节、图1所述），并向发送方发送(G, v)。此时，v 的位置 i ∈ L隐藏了一个关于点 β1, . . . , βn的次数为 −1 2的多项式，该多项式在位置 α1, . . . , αt处的取值分别为输入 x = x1, . . . , xt。发送方选择两个随机多项式 A和 B，并满足约束条件：A(αi) = ai且 B(αi) = bi，其中 i ∈[t]。 A的次数为 −1 2 ，B的次数为−1。4这意味着 B完全隐藏了 A，从而隐藏了发送方的输入。现在，发送方只需计算 wi= A (βi) · vi+ B(βi)。发送方和接收方执行一次‐选‐n OT数量，接收方选取L中的位置。他对获得的值应用 H，并插值得到一个多项式 Y，其在位置 αi处的取值为 ai · xi+ bi。我们在我们的协议中保留了[22]协议的通用结构。为了确保输入的正确性和一致性，我们必须添加额外检查。完整的描述见图3，我们将在下一段中对这些思想进行高层次的描述。

首先，我们需要确保接收方只能学习到值，否则他可能重建部分输入。我们不使用昂贵的‐选‐n OT，而是让发送方创建一个(ρ, n)‐秘密共享（记住 ρ+= n），用于一个随机值 e，并将份额 si放入第 i个OT中，另一个提供的消息设为随机值 ti。根据他的集合 L，接收方选择 ti或份额 si。然后他使用这些份额重构出 e并将其发送给发送方。如果发送方能提供不一致的秘密共享，则这可能会向发送方泄露有关 L的一些信息。因此，我们强制发送方对e进行 COM，并在之后提供揭开。在此过程中，若发送方作弊但未被发现，他可能会获得有关 L的一些信息，但我们可以利用前一节的结果证明这种泄露是可容忍的。接收方可以继续提供编码v，从而使发送方能够计算w。

其次，我们必须确保发送方计算出正确的输出。为了检测作弊的发送方，我们在协议末尾添加一个检查步骤。回想一下，接收方知道输出 Y。他可以基于自己的输入计算另一个多项式 X，然后选择一个均匀随机的挑战 zR。他将该挑战发送给发送方，发送方必须回答 A(zR) B(zR)。随后，接收方可以验证 Y(zR) = A(zR)X( zR)+ B(zR) 是否成立，即发送方在无噪声位置没有作弊。同样，这会向发送方泄露一些信息，但通过正确选择参数，这种泄露可以忽略不计。

4该值由编码固定，但我们要求是不均匀的，因为我们需要重构一个偶数次的多项式 − 1 2 + − 1 2 = − 1,而这需要个值。

安全性针对恶意接收方主要源于被动安全协议。我们只需确保对其输入的提取是正确的，并且在 e不正确时不会泄露发送方输入的任何信息。因此，我们使用一次性密码本对 wi进行掩码，并添加以下检查。这次发送方选择 zS，接收方必须回答 X(zS) Y(zS)，从而强制实现正确的提取。

定理3。 该协议ΠOLE UC实现 FOLE 在OT混合模型中具有计算安全性。

证明。 被破坏的发送方：下面我们给出一个模拟器 SS该模拟器为恶意发送方 AS提供对 ΠOLE 4）的计算上不可区分的模拟。

提取的主要思想如下。由于 SS掌握了OT数量的所有输入，因此可以利用当前可用的噪声元素ˆvi和 i∈/ L来学习输入a。无噪声的ˆvi, i ∈ L可以通过多项式 Y外推到带噪声的ˆ位置（ˆwi值意味着i ∈ L的一个次数为− 1的多项式，而接收方总是学习值）。

暂时忽略 AS可能提供不一致的输入的情况，模拟器现在知道每个位置 βi, i∈/ L的两个值：ˆwi= ai · ˆvi+ bi和ˆˆY(βi)。因此，假设 AS是诚实的，通过计算ˆwi−Y(βi)，模拟器得到 ai · ˆvi+ bi − ai · ˆxi+ bi= ai(ˆvi −ˆxi)，其中ˆxi 是其输入ˆx ∈ F t根据位置 βi上的编码ˆv|L所隐含的值。由于模拟器知道ˆvi和ˆxi，它可以简单地计算 ai。从这些点中的 −1 2 +1

点。因此，如果被破坏的发送方在最多 κ个位置 i ∈ L上发送了错误的值，并且 −1 2+2κ< n仍然有足够的点至少确定一个正确的 A，从而也能确定一个正确的 B= Y − AX。

我们现在证明，对于每个PPT环境 Z，两个分布RealAS ΠOLE(Z)和IdealFSSOLE( Z)是不可区分的。考虑以下一系列混合实验。
混合实验0: 这是真实协议。混合实验1: 与混合实验0相同，只是 S1提取所有输入（si, ti）进入OT的输入由 AS完成。混合实验2: 与混合实验1相同，只是 S2提取值 ¯a如图4所示，并且如果步骤8中的检查通过，但 ¯a1,…, ¯aρ的错误超过κ个，则中止。混合实验3: 与混合实验2相同，只是 S3将其输入编码为一个随机值ˆx。

混合0和混合1的不可区分性是显然的。我们在引理1中证明混合实验1和混合实验2是计算上不可区分的，然后在引理2中证明混合实验2和混合实验3的不可区分性。

引理1. 混合1和混合2在计算上是不可区分的，前提是 Z的视图满足假设2成立。

证明。 为了证明该引理，我们需要说明以下两个陈述。
ˆ 1. S2能够正确提取输入ˆa,b，如果噪声位置中的错误少于 κ 个。2. 由于噪声位置中错误超过 κ 个而导致 S2中止的概率在 κ中是可忽略的。

存在两种方式使得 AS可以作弊并阻止正确提取：（1）它对无噪声值ˆvi, i ∈ L使用不一致的输入，这将导致多项式 Y错误（以及 ¯ai也不正确）；（2）它对有噪声值ˆvi, i∈/ L使用不一致的输入，这将导致提取出的值 ¯ai不正确。

在情况（1）中，诚实方将以压倒性概率因步骤8中的检查而中止。必须满足 A(z)∗ · ˆX(z) + B(z)∗= ˆY(z)，其中 z 是均匀随机选择的。根据假设2可知， X（从而 Y）对 Z而言是未知的，因为它们会被一个完全随机的ˆ向量无条件隐藏。由代数基本定理可知，对于不正确的 A(z)∗, B(z)∗，最多只有 deg(Y) =−1ˆ ˆ ˆ 个可能的值 z满足 A(z)∗·X(z)+B(z)∗= Y(z)。由于 zR是从 F中均匀随机选取的，因此使用不正确的 A(z)∗, B(z)∗通过检查的概率上界为 −1 |F| ，该概率在安全参数下是可忽略的。这意味着步骤8中的检查确保了所有 i ∈ L对应的值ˆwi都是正确的。

对于情况（2），我们首先论证，如果 AS在噪声位置引入的错误少于 κ ，则提取仍然成功（如果超过 κ，模拟器将中止）

发生错误）。根据参数的选择，有 ρ> 3κ= 6，且模拟器学习到 ρ个值 ai，这些值应表示一个次数为 −1 2的多项式。应用标准的里德‐所罗门解码器后即可得到正确的值 ai，即如果错误少于 κ个，则 SS提取出正确的 a ∈ Ft （从而也得到正确的 b ∈ Ft）。

这表明，只要噪声位置中的错误少于 κ个，提取的值就是正确的。

我们声称，一个在 Z噪声位置放置超过 κ个错误的行为将破坏假设2。模拟中 Z的情景与游戏 Gident相同： Z获得一个编码 v ←Encoden,ρ(x)，其中包含 ρ个噪声位置，并且必须输出一组位置 Q ⊆[n]，使得 Q ⊆ R且 |Q| ≥ κ。如第3节所述，我们可以假设对n进行编码得到的编码与对n进行编码得到的编码是不可区分的，即与真正的随机字符串不可区分。为了满足定理2的要求，因此必须成立 σ= n ρ−κ n−κ ≥ n 2 ，而根据我们对参数的选择，该条件成立。因此，该结论直接由定理2得出。

引理2。 混合模型2和3在假设 Z成立且COM是UC承诺方案的前提下，从2的观点来看是计算上不可区分的。COM是UC承诺方案。

证明。 假设存在一个PPT Z以不可忽略的概率 ε区分混合模型2和3。我们将证明 Z以不可忽略的概率破坏假设2。

我们需要考虑AS在协议执行过程中接收到的所有消息。首先注意到， SS（或R）在步骤4中要么输出 e，要么中止。假设相反情况成立，即 AS能够为值 e, e′创建两个秘密共享s1,1, . . . , s1,n和s2,1, . . . , s2,n，使得R以非可忽略的概率 ε分别根据集合 L和 L′输出 e或 e′而不中止。然后我们从 Z构造一个攻击者 B来破坏COM的绑定性质。 B模拟该协议并学习所有值 si∗，然后随机选取两个均匀随机集合 L, L′。 B通过 L和 L′分别采样子集秘密共享，以非可忽略的概率重构出 e和 e′。对于这两个值都必须满足COM.Open(com, unv e) = COM.Open(com, unv e′) = 1，否则 B将像真实R一样中止。由于 AS实现了R以非可忽略概率输出 e或 e′，因此 B以非可忽略概率向绑定实验输出c om e, e′，从而破坏了COM的绑定性质。

他收到的下一条消息是编码。回想一下，OT中的选择比特是从编码的集合 L导出的，也就是说，一个作弊的 AS可能会在OT中使用不一致的输入（例如，在本应不在 L中的位置使用错误的 si值），使得R根据集合 L决定是否中止。然而， AS必须在不知道编码v的情况下进行作弊，而如上所述，他始终只能学到相同的 e，因此他最多只能获得1比特的泄露，即作弊是否被检测到。现在我们将证明步骤4中的泄露无助于 Z进行区分。对于恶意的 Z而言，情况与游戏 Gleak完全相同。首先， AS必须确定一组他认为不在 L中的值，然后他会通过一次成功的检查得知他的猜测是正确的。

并给定编码。现在他必须判断自己得到的是一个随机编码还是非随机编码。我们可以直接应用定理1，在满足 ρ ≥ 2 3 n的条件下，得出 Z的区分优势是可忽略的。

在学习了v之后， AS必须计算在步骤8中被检查的值w。通过在噪声位置作弊，步骤8将成功，但 AS通过学习检查是否成功的比特而获知一些噪声位置。这种情况比上述步骤更复杂，因为现在 AS可以在看到编码v之后决定集合 Q。我们认为 Z的区分优势仍然是可忽略的。显然， AS总是可以通过猜测以多项式概率找到 O(log κ)个噪声位置。然而，定理2保证在此情况下，如果Yσ ≈ Yn 对于 Q成立，则 AS无法找到超过 O(log κ)个噪声位置。由定理1可知，如果 Q= O(log κ)且 σ> 2 3 n，则Yσ ≈Yn。综合起来，我们得出对于 ρ= n−κ 2， AS无法找到超过O(log n)个噪声位置，且 Z的区分优势是可忽略的。这完成了证明。

受损接收方。下面我们给出一个模拟器 SR，它为恶意接收方 AR提供对 ΠOLE的统计上不可区分的模拟（参见图5）。从概念上讲，该模拟是直接的。模拟器获知所有选择比特，因此可以重构集合 L，这足以解码码字 v。知道 X后， SR可以轻松推导出一致的输入 A、 B。需要注意的是，因为 AR获得了一对与多项式A和 B相关的额外值，因此他可能篡改提取过程。更详细地说，他获得的值比重构 Y所需的多一个，因此他可以同时操纵其输入的次数以及 L和 v的正确性。我们在引理4中描述并分析了一种微妙的攻击，这使得分析稍微复杂一些。

我们现在通过一系列混合实验来证明模拟的不可区分性。对于每个PPT环境Z，两个分布RealAS Π OLE (Z)和IdealFSSOLE (Z)是不可区分的。
混合实验0：这是真实协议。混合实验1：与混合实验0相同，只是 S1通过 AR 将所有输入选择i输入提取到OT中。混合实验2：与混合实验1相同，只是当 AR在步骤3中通过检查时， S2会中止，即使他选择的值少于 ρ个 si。混合实验3：与混合实验2相同，只是 S3按照图5所示重构 X ，并且如果ˆY(ˆzS) = Y ∗(ˆzS)， ˆX(ˆzS) = X∗(ˆzS)或ˆY= R，则中止。

混合0和混合1的不可区分性是显然的。我们在引理3中证明了混合1和混合 2的不可区分性，该证明基于秘密共享的隐私性和承诺的隐藏性质。在引理4中，我们证明了总能提取出 AR的正确输入，因此混合实验2和混合实验3是统计上不可区分的。

引理3. 混合1和混合2在 Z的视角下是统计上不可区分的，前提是SS是一个完美隐私的秘密共享方案，且COM是一个统计隐藏的承诺方案。

证明。 假设存在一个环境 Z能够区分这两个混合模型，即 Z必须以非可忽略的概率 ε导致S2中止。我们将从 Z构造一个攻击者 B，其以非可忽略的概率破坏COM的隐藏性质。 B的模拟过程与 S2完全相同，但会创建一个随机 r的秘密共享，并选择两个随机值e, e′，将其发送给隐藏实验。隐藏实验返回关于其中一个值的承诺com。然后 B将该承诺和秘密共享整合到模拟中，并检查 Z是否向OT输入了少于 ρ个值的选择i= 1，否则 B中止。由于SS是完美隐私的

秘密共享并获得少于 ρ个值 si，这些值不会泄露关于 r的任何信息，且 B的模拟与 S2的模拟不可区分。现在令 e∗为 Z在模拟协议中的回答。 B只需将 e∗转发给隐藏实验。由于必须满足 e∗= e或 e∗= e′以非可忽略的概率 ε成立（否则步骤3中的检查会失败），因此 B以相同概率破坏COM的隐藏性质。由此矛盾可知， AR通过OT最多学习到个值 ti。

引理4. 从 Z的视角来看，混合模型2和3是统计上不可区分的。

证明。 为了区分混合2和3， Z必须通过步骤9中的检查，即使满足S3选择了一个随机多项式 R（从而能够将模拟与真实协议区分开）。首先注意到，结果 w始终定义了一个次数为− 1的多项式，如果 AR的输入多项式次数小于 −1 2 。根据引理3可知， AR最多通过OT获取个值，然后通过步骤9中的检查额外获得一对值 (a, b)。

在我们查看提取的细节之前，让我们先描述一种我们必须应对的通用对抗策略。攻击者获得1次免费查询，并可能尝试利用此次查询来阻止提取。假设他选择了一个次数为 −1 2的多项式，但只使用了 L中的− 1个值。在选择阶段，他随机选取一个索引 i∗∈/ L并设置选择i∗= 0，即 S3将认为该索引也在 L中。为了达到相同目的， AR可以简单地将某个随机索引 i对应的值 vi设为一个随机值。随后， S将会提取出一个错误的多项式（其次数大于 +1 2 ），而 AR仍可通过额外的值重建 Y。然而，由于 AR只能恰好添加1个随机元素， S3可以通过对每个 i ∈ L尝试集合 L′= L\ i是否在 vi上定义一个次数为 −1 2的多项式来识别该索引。此处关键在于，不存在两个集合 L1, L2满足|L1| =−1, |L2| =，使得 L1 ⊂ L2且deg(PL1) = −1 2, deg(PL2) = +1 2 ，也就是说，仅存在唯一一个可能被移除的索引 i。这一点源于多项式 P= PL2 − PL1最多只有 +1 2个根，而 L1和 L2必须在−1个位置上保持一致。如果该情况可能发生，则 S3将无法区分这些情况。

以下设 deg(PLˆ) 表示由点 vi 对 i ∈ L 定义的多项式的次数。
– |ˆL| ≤− 2： AR最多获得− 2+ 1个点，但 Y的次数为− 1，因此未充分确定。显然， AR在步骤9中以正确的 X∗(zS) Y ∗(zS)回答检查的概率在 F中是可忽略的。由于 S3也中止，混合模型2和3在此情况下不可区分。 – |Lˆ| =− 1: 在这种情况下，成立 Yˆ= R 当且仅当 deg(PLˆ) ≥ +1 2. • deg(PLˆ) = −1 2 ：在这种情况下， AR可以重构 Y并在ˆ步骤9中通过检查，但S3提取出正确的 X。根据上述论证，不存在另一个多项式 X′能够与集合 L相吻合，因此混合模型2和3是不可区分的。
• deg(PLˆ) = +1 2 ：在这种情况下， AR获得−1+1个点，但结果Y的次数为 −1 2 + +1 2 =，即 AR需要+1个点来重构 Y。根据上述相同的论证，混合模型 2和3是不可区分的。
• deg(PLˆ)> +1 2 ：在这种情况下， AR可以如上所述进行操作，即向集合ˆL添加一个随机的 i，从而人为地增加deg(PLˆ)。但由于 |L| =−1，从 L中移除一个额外的值会导致情况ˆ|L| ≤−2，从而实现混合模型2和3的不可区分性。
– |ˆL| =：在这种情况下，仅当 deg(PLˆ) > +1 2 且无法找到任何索引 i来将 deg(PLˆ) 规约至 −1 2 时，才有ˆY= R 成立。
• deg(PLˆ)= −1 2 ：在这种情况下，R可以重构 Y并在ˆ 步骤9中通过检查，但S3提取出正确的 X。
• deg(PLˆ) = +1 2 ：在这种情况下，R获得+ 1个点，结果的Y次数为 −1 2+ +1 2=。因此，R可以重构 Y并通过ˆ检查，但S3提取出正确的 X。
• deg(PLˆ)> +1 2 ：在这种情况下，R可以如上所述进行操作，即向集合 L添加一个随机的ˆ i，从而人为地增加deg(PLˆ)。从 L中移除一个额外的值将导致情况 |L| =− 1，即S3将正确模拟。否则， S3将中止，但R无法重构Y，因此在步骤9的检查中失败。
– |ˆ L| >: S3中止，根据引理3可得混合模型2和3是不可区分的。

模拟的正确性源于以下事实：要么 S3提取出正确的输入 X，要么在步骤 9中的检查以压倒性概率失败，此时 X= R。因此， Z引发中断的事件是可忽略的，即混合模型2和3不可区分。

这完成了证明。

6 高效的不经意多项式求值

理想功能 FOPE用于OPE的如图所示6。它允许发送方S输入一个多项式 P，接收方 R输入 α ∈ F。在本节的其余部分，我们将建立以下定理。

定理4。 存在一个（常数轮次）协议 ΠOPE，其在 Ft OLE-混合模型中以无条件安全性UC实现FOPE。特别地，对于次数为 d的多项式 P， t= d+ 2。

我们的路线图如下：首先，我们展示如何将 FOPE规约到一个基于中间OLE的功能Ft,1 OLE。在此基础上，我们提出一种高效的归约方法，将 Ft,1 OLE归约到 Ft OLE（或 FOLE）。

我们遵循纳奥尔和粉卡斯[30]利用[17]中的线性化技术来构建一个oblivious多项式评估协议的想法。他们将一个 P次数为 d的多项式分解为 d个线性函数。然后可以使用我们的OLE对每个函数在输入 α的情况下进行求值，接收方可以重构出值 P(α)。我们在此陈述该引理，证明可在[30]以及本文的完整版本中[15]找到。

引理 3[17]. 对于每个次数为 d的多项式 P，存在 d个线性多项式 P1,…, Pd，使得对 P的OPE可规约为对 P1,…, Pd中每一个进行OLE的并行执行，其中所有线性多项式都在相同点处求值。

在半诚实情况下，该方法可直接对 Ft OLE使用 t= d。但与[30],的构造不同，我们的批量OLE并不要求接收方在所有OLE中使用相同的输入 α。因此，我们无法采用[30]的归约来证明针对接收方的恶意安全。特别是，一个恶意接收方可能会学习到 P系数的一些非平凡线性组合。

‐不经意线性函数求值的理想功能。)

规约 FOPE 至 Ft ,1 OLE

第一步，我们将OPE规约到OLE的一个变体，其中接收方只有一个输入 x ∈ F，而发送方输入两个向量a,b。如图7所示。

根据引理3，将 F OPE 归约到 Ft ,1 OLE是直接的。发送方将其多项式 P分解为 d个线性函数 f1 ,…, fd，其系数为(ai , b i)，并将这些输入到 F d ,1 OLE中。接收方选择他的输入 α并获得 d个线性评估，从中他可以重构 P(α)。所需OLE的数量仅取决于 F d的实现，1个OLE。该协议的正式描述见图8。

引理4. 该协议 ΠOPE在 F d,1 OLE-混合模型中以无条件安全性UC实现 FOPE 。

证明。 的安全性是显然的：模拟器模拟 F d,1 OLE并获知所有输入，这些输入被直接转发给 FOPE（并在必要时进行重构）。的分解正确性由引理3得出。注意，通过采用我们的方法，我们还消除了对[30],这一更强假设的需求，同时在最终协议中保持了相当的效率。

将 Ft ,1 OLE规约到 Ft+2 OLE

作为第二步，我们需要用 Ft OLE.D¨ottling 等人[11]描述了一种黑盒协议，该协议以无条件的UC安全性从 FOLE（或我们的批处理变体）实现 Ft ,1 OLE。该协议在OLE数量上的乘法开销为常数 2+ ε，适用于任意域 F。虽然该协议基本解决了我们的问题，但我们提出了一种更高效的变体，该变体关键性地利用了我们仅考虑大域 F这一事实。我们的新方法仅需额外两个OLE，因此其开销为 1+ ε。

我们针对 Ft ,1 OLE的解决方案如下。设a,b ∈ F t为发送方的输入。现在需要选择另一对输入(at+1, bt+1)，使得∑ t+1 i=1 ai= 0和 bt+1在 F中是均匀随机的。发送方将a′,b′ ∈ F t+1输入到 Ft+1 OLE中，而接收方输入x′=(x,…, x) ∈ F t+1。然后接收方本地计算c= ∑ t+1 i=1 yi= ∑ t+1 i=1 aix+∑ t+1 i=1 bi= ∑ t+1 i=1 bi，并向发送方发送对 c